1、精簡精準(zhǔn)的訪問控制

智能網(wǎng)關(guān)網(wǎng)絡(luò)訪問控制需實(shí)現(xiàn)的具體內(nèi)容應(yīng)遵循國家標(biāo)準(zhǔn)安全技術(shù)要求，需要指出的是，相關(guān)防護(hù)手段應(yīng)該是精準(zhǔn)、精簡、瘦身地，因?yàn)榍岸嗽O(shè)備是布局分散的邊緣物聯(lián)網(wǎng)終端，我們不可能為其附加笨重、復(fù)雜的防護(hù)手段，而應(yīng)該綜合考慮功能性與便捷性，化繁為簡，實(shí)現(xiàn)小而美的精準(zhǔn)訪問控制。

2、分布式邊緣防護(hù)手段

對于天生物理位置分散的智慧燈桿前端設(shè)備，分布式的邊緣防護(hù)手段明顯更合適。一方面更貼近被保護(hù)設(shè)備，另一方面更具針對性，能夠?qū)崿F(xiàn)精準(zhǔn)防護(hù)。傳統(tǒng)的集中式防護(hù)手段（往往就是在燈桿通信系統(tǒng)的接入層或匯聚層部署安全設(shè)備），存在幾個(gè)弊端：

安全設(shè)備性能需彈性增長

前端設(shè)備跨網(wǎng)段，安全設(shè)備策略配置復(fù)雜

遠(yuǎn)距離安全防護(hù)，效果難保障

前端設(shè)備之間會(huì)存在交叉感染風(fēng)險(xiǎn)

因此，對智慧燈桿前端設(shè)備的安全防護(hù)更需要的是分布式的方式，即貼身地、一對一地安全防護(hù)。

3、獨(dú)立的軟硬件環(huán)境

傳統(tǒng)的“寄生式”防護(hù)手段，如第三方廠家的殺毒或準(zhǔn)入軟件等，大多以純軟件的形式安裝部署在網(wǎng)關(guān)操作系統(tǒng)中。其最大的問題是與網(wǎng)關(guān)的軟硬件環(huán)境捆綁過于緊密，一方面會(huì)占用網(wǎng)關(guān)的硬件性能資源；另一方面，一旦有病毒等惡意代碼程序繞過防護(hù)手段，感染了網(wǎng)關(guān)，有可能通過反殺寄生在網(wǎng)關(guān)上的防護(hù)程序，從而取得網(wǎng)關(guān)的控制權(quán)，進(jìn)而發(fā)動(dòng)內(nèi)部網(wǎng)絡(luò)攻擊。

因此，為安全模塊提供獨(dú)立的軟硬件環(huán)境至關(guān)重要。不論它是以外置防護(hù)設(shè)備的形態(tài)出現(xiàn)，還是以嵌入式安全芯的形態(tài)出現(xiàn)，都應(yīng)為其配置獨(dú)立的計(jì)算環(huán)境，做到與智能網(wǎng)關(guān)互不干擾，網(wǎng)關(guān)發(fā)生變化（軟件更新、配置更新、被攻陷等）時(shí)，安全模塊不受影響。

4.無IP網(wǎng)絡(luò)隱身部署模式

對于智慧燈桿這類邊緣物聯(lián)網(wǎng)終端，安全模塊往往是直接部署在業(yè)務(wù)網(wǎng)絡(luò)上的，即串接在生產(chǎn)系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)的網(wǎng)線上，如果給每個(gè)安全模塊分配一個(gè)業(yè)務(wù)網(wǎng)絡(luò)IP地址，不僅會(huì)占用大量網(wǎng)絡(luò)資源，還需改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。采用無IP部署模式，節(jié)約網(wǎng)絡(luò)資源，降低部署難度，同時(shí)安全模塊沒有IP即實(shí)現(xiàn)了網(wǎng)絡(luò)隱身，可免疫掃描攻擊，進(jìn)一步提高了安全防護(hù)等級(jí)。

5.集中式的統(tǒng)一管控平臺(tái)

統(tǒng)一管控平臺(tái)部署在機(jī)房控制中心，一方面覆蓋全網(wǎng)分布式邊緣防護(hù)設(shè)備（外置或安全芯），實(shí)現(xiàn)全面管控與分析；另一方面與機(jī)房中智慧燈桿運(yùn)維管理平臺(tái)實(shí)現(xiàn)聯(lián)動(dòng)，綜合處理各類數(shù)據(jù)。統(tǒng)一管控平臺(tái)起著兩個(gè)作用：向下，能夠下發(fā)訪問控制策略，統(tǒng)一管理所有分布式防護(hù)設(shè)備；向上，能夠收集相關(guān)網(wǎng)絡(luò)行為日志，進(jìn)行分析、處理、展現(xiàn)等。統(tǒng)一管控平臺(tái)與分布式防護(hù)設(shè)備組成了一個(gè)整體，實(shí)現(xiàn)了對前端設(shè)備的全面安全防護(hù)。